密钥

insecure-defaults 技能可帮助识别 fail-open 配置模式——也就是软件在不安全设置下继续运行，而不是直接停止。适用于对生产代码、部署配置和密钥处理逻辑进行安全审计，帮助发现弱认证、硬编码密钥和过于宽松的默认配置。

azure-keyvault-secrets-rust 是一款面向 Azure Key Vault Secrets 的 Rust 技能。它涵盖使用官方 `azure_security_keyvault_secrets` crate 进行密钥的存储、读取、更新、删除以及密钥元数据列表操作，并提供身份验证、`AZURE_KEYVAULT_URL` 配置和后端开发的实用指导。

azure-keyvault-py 是面向 Python 的 Azure Key Vault 技能，覆盖 secrets、keys 和 certificates。它可以帮助后端开发团队选对 client、安装正确的 packages、配置 Azure credentials 和 environment variables，并按一份实用的 azure-keyvault-py 指南完成安全的运行时访问。

azure-security-keyvault-secrets-java 是面向后端开发的 Java Azure Key Vault Secrets 技能。可用于安装依赖、配置身份验证，并生成代码来在 Azure 托管服务中存储、读取、更新、删除和恢复机密。

credentials 技能可帮助定位、识别并规范化集中存放的访问文件（如 Access.txt）中的 API key 和环境变量。适用于 credentials 安装、credentials 使用以及工作流搭建等场景，尤其是在密钥集中管理、需要清晰映射到 env var 的情况下。

varlock 是一款面向 Claude Code 工作流的安全环境变量管理技能。它帮助你在不把敏感值暴露到终端、日志、diff 或模型上下文中的前提下，处理 secrets、API keys、credentials 和 `.env` 文件。需要安全校验、脱敏展示和受控访问控制流程时，就用 varlock。

用于审计 GitHub Actions 和 CI/CD 配置的 detecting-supply-chain-attacks-in-ci-cd 技能。它可以帮助发现未固定版本的 action、脚本注入、依赖混淆、敏感信息泄露以及 Security Audit 工作流中的高风险权限。适合用来检查仓库、工作流文件或可疑的流水线变更，并给出清晰的发现和修复建议。

面向 OWASP 模式、secret 管理和安全测试的 security 技能。用于审查 auth、用户输入、API keys、环境变量和仓库卫生，尤其适合 Security Audit 相关工作。

azure-keyvault-secrets-ts 帮助后端开发者使用 TypeScript 结合 @azure/keyvault-secrets 和 @azure/identity 管理 Azure Key Vault secrets。可用于安装、配置认证，并在 Node.js 服务中安全地存储、读取、更新、删除、列出或恢复 secrets。